阿里云 k8s 集群搭建

为 VPC 配置 SNAT

注：SNAT 已关闭，看起来两个 ECS 节点都有公网 IP，不需要了。（2024-06-04）

阿里云的 NAT 网关太贵，考虑自行搭建 SNAT。

购买最廉价 ECS，配置如下设置

sysctl net.ipv4.ip_forward # 查看当前 IP 转发配置，0 为关闭，1 为打开
sysctl -w net.ipv4.ip_forward=1 # 打开 IP 转发
iptables -t nat -I POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 172.16.117.66

去 VPC 路由表中添加 0.0.0.0/0 下一跳为上述 ECS

设置 iptasbles 开机启动：

DNAT

通过 公网 IP 访问集群管理 API

iptables -t nat -I PREROUTING -p tcp --dport 6443 -j DNAT --to 172.16.117.67:6443
iptables -t nat -I POSTROUTING -d 172.16.117.67/32 -p tcp --dport 6443 -j MASQUERADE

记得开启安全组规则允许 6443 端口

在 k8s 集群信息中设置 自定义证书 SAN 为 47.111.247.217 配置证书，解决以下证书问题：

Unable to connect to the server: x509: certificate is valid for 172.21.0.1, 127.0.0.1, 7.20.49.48, 172.16.117.67, not 47.111.247.217

参考链接：

如何通过 EIP 实现 VPC 下的 SNAT 以及 DNAT